Beveiligingsexperts discussiëren deze week over “Claude Mythos”, een nieuwe promptaanpak rond Anthropic’s AI-assistent Claude. Het profiel stuurt het model aan om kwetsbaarheden te analyseren en aanvalspaden uit te denken. Dat kan nuttig zijn voor red teams en opleidingen, maar roept ook zorgen op over misbruik. In Europa speelt bovendien de vraag hoe dit past binnen de AI‑verordening en bestaande cybersecurityregels.
Claude helpt, remmen blijven nodig
Claude is een AI‑assistent van Anthropic die tekst begrijpt en schrijft. Het systeem is ontworpen met “Constitutional AI”, een reeks veiligheidsregels die schadelijke output moeten beperken. In de praktijk helpt dit bij documentatie, log‑analyse en het uitleggen van beveiligingsconcepten. Maar dezelfde kennis kan, zonder remmen, ook offensief worden gebruikt.
Met een gericht promptprofiel zoals Mythos kan Claude scenario’s voor penetratietesten sneller uitwerken. Dat versnelt threat modeling en tabletop‑oefeningen. Teams besparen tijd bij het opzetten van checklists en het samenvatten van CVE‑informatie. Toch blijft menselijke controle nodig, omdat het model fouten kan maken of verouderde informatie kan gebruiken.
De veiligheidsfilters van Claude blokkeren expliciete instructies voor misbruik, zoals het stap‑voor‑stap maken van malware. Dat voorkomt directe schade, maar kan onderzoek frustreren wanneer legitieme teams realistische aanvalssimulaties willen. Organisaties kiezen daarom vaak voor gescheiden omgevingen: één streng afgeschermd voor oefening, één voor alledaags advies. Zo blijft de balans tussen nut en risico in evenwicht.
Mythos vergroot dubbel gebruik
Mythos positioneert Claude nadrukkelijk als sparringpartner voor offensieve én defensieve denkoefeningen. Dat helpt beveiligingsteams om aannames te testen en blinde vlekken te vinden. Het risico is dat dezelfde structuur ook aanvallers houvast geeft, zelfs als de tool geen directe exploitcode levert. De meerwaarde zit dus vooral in snelheid en focus, niet in geheime kennis.
Voor red teams kan Mythos bruikbaar zijn bij het verkennen van ketenaanvallen en misconfiguraties. Het model kan bijvoorbeeld denkpaden schetsen die analisten vervolgens handmatig valideren. Dat werkt als een tweede paar ogen, maar niet als vervanging van tooling of expertise. Zonder validatie kunnen “hallucinaties” leiden tot schijnveiligheid of verkeerde prioriteiten.
Blue teams profiteren van dezelfde structuur voor detectie- en responsplannen. Claude kan runbooks stroomlijnen en incidentrapporten samenvatten voor niet‑technische stakeholders. Dat past bij organisaties die sneller willen leren van near‑misses. De keerzijde: hoe preciezer de scenario’s, hoe groter de noodzaak om toegang en auditlogboeken strak te regelen.
Dual use is technologie die zowel voor verdedigende als voor offensieve doelen inzetbaar is. AI valt hier vaak onder, zeker bij cybersecuritytoepassingen.
Europese AI‑verordening dwingt keuzes
De Europese AI‑verordening (AI Act) stelt op het moment van schrijven eisen aan generieke AI‑systemen en aanbieders. Voor organisaties betekent dit transparantie over gebruik en passende risicobeheersing. Wie Claude inzet voor beveiliging moet vastleggen waarvoor het model wordt gebruikt en welke maatregelen misbruik beperken. Denk aan toegangsbeleid, menselijke toetsing en training van gebruikers.
Voor overheden en vitale sectoren gaat dit samen met NIS2‑verplichtingen voor cyberweerbaarheid. AI in het SOC of tijdens audits valt dan onder strengere governance en rapportage. De combinatie AI‑verordening en NIS2 vraagt om formele procedures voor promptbeheer en experimenten. Mythos‑achtige profielen horen daar expliciet in beschreven te zijn.
Ook de AVG blijft leidend zodra logs of incidentdata persoonsgegevens bevatten. Dataminimalisatie, pseudonimisering en versleuteling zijn dan nodig. Daarnaast is het verstandig te controleren waar data worden verwerkt en opgeslagen. Europese datalocatie en verwerkersovereenkomsten verminderen juridische onzekerheid.
AVG en NIS2 stellen eisen
Bij het testen met Claude mogen productiedata niet zomaar in prompts terechtkomen. Gebruik synthetische of geanonimiseerde data om lekken te voorkomen. Beperk invoer tot wat strikt nodig is voor de oefening of analyse. En wis context na afloop, zodat gevoelige details niet blijven rondzwerven.
Toegang tot Mythos‑achtige profielen hoort alleen bij getrainde gebruikers te liggen. Registreer wie welke prompts hanteert en met welk doel. Stel grenzen aan het detailniveau van offensieve scenario’s en verbied uitvoerbare code. Zo blijft de lijn tussen legitiem onderzoek en potentieel misbruik duidelijk.
Voor organisaties in Nederland is afstemming met de Functionaris Gegevensbescherming en CISO cruciaal. Leg vast welke taken AI wel en niet mag ondersteunen. Maak een escalatiepad voor twijfelgevallen, bijvoorbeeld bij verdachte of geblokkeerde output. Dit voorkomt schaduwen van beleid en versnippering over teams.
Zo gebruik je Claude veilig
Begin met een beleid voor “AI in security”: doelen, risico’s, rollen en audit. Kies vervolgens een enterprise‑omgeving met logfunctie, rechtenbeheer en data‑afscherming. Richt een sandbox in voor red‑team‑oefeningen, los van productie. Combineer dat met vaste checklists voor menselijke validatie.
Beheer promptprofielen zoals code. Versiebeheer, peer review en periodieke herkeuring helpen om Mythos‑varianten scherp te houden. Documenteer welke veiligheidsfilters bewust blijven ingeschakeld. En test of nieuwe updates nog voldoen aan interne en Europese regels.
Meet tenslotte de echte waarde: minder false positives, snellere triage, betere rapporten. Als die KPI’s niet verbeteren, zet een stap terug en herontwerp de werkwijze. AI hoort beveiliging te versterken, niet te compliceren. Met heldere kaders kan Claude — ook met Mythos‑achtige profielen — verantwoord in de gereedschapskist van Europese teams landen.
